×

重要提示

为确保您第一时间收到
最新审计行业大事、方法案例、报告模板等
请务必记得搜索或扫码关注公众号【内审网】

内审网公众号,ID:neishenwang

华为员工被判刑:一夜惊醒多少老板和审计?

2022-04-13 06:10:00
审先生
原创
10263



审先生 / 文;内审网 / 整编

昨天(4月12日)发现,一条“华为员工利用公司系统Bug越权访问机密数据被判刑”的新闻,突然登上微博、百度、微信搜一搜等各大热搜榜单!


华为员工、越权、机密数据,这一个个关键词,无一不激起了本人一探究竟的想法。

进一步检索查阅了解到,大致情况为:

易某,于2006年12月至2018年3月期间在华为技术有限公司(以下简称华为公司)任职。在其调离岗位后,未清理ERP登陆账号(相关权限),通过越权访问,或借用同事账号访问ERP系统,将所获得数据透露给华为供应商、上市公司金信诺(300252),以帮助该公司提高中标率,因此获利。最终易某被判犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;并向易某追缴违法所得共计人民币23437.6元,依法予以没收,上缴国库。

网上公开披露的裁定书如下:


截图来自:中国裁判文书网

公开信息显示,2017年以后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。发现系统漏洞后,易某未向上反馈,反而利用该漏洞从事上述违法行为。

经查,

易某在2016年12月27日至2018年2月28日期间,曾多次通过邮箱“yihxxx@huawei.com”将华为公司多个供应商共1183个(剔除重复部分共918个)线缆类编码物料的采购价格发送给金信诺公司。

2012年至2017年6月30日期间,易某收受金信诺公司购物卡共计7000元、篮球鞋5双(价值共计人民币16437.6元)。

另查明,案发后,华为公司出具谅解书,表示对被告人易某侵害华为公司的行为予以谅解。

到此,不知您会有什么想法。作为一名老审计人,和圈内朋友们讨论了解到,一夜之间,不少公司老板、高层连夜要求IT、审计部门着手审查关键系统账号权限管控情况。

这个案件,并不复杂,从事过全面审计工作,或者参与过大中型企业是单位审计项目的伙伴,一定会清楚,账号、权限、日志管理是信息系统一般性控制(ITGC)的基本内容,IT审计亦必须关注。

大家时间宝贵,长话短说,基于该案件,从IT、数据控制与审计的角度,分享几点实务干货,供各单位高层及IT部门、审计部门同仁参考:

数字化时代,数据是组织最宝贵的资源和财富之一,部分数据事关企业命运,甚至生死,重视数据安全,就是关注组织前途与发展;


数据安全管理,不是喊喊口号就能做到的,需要周密的内部控制设计,严格的控制执行措施。包括但不限于:外购系统可靠性评估和认证;自研系统的充分独立测评;云端与本地数据存储安全保证及定期审查;账号密码策略与权限分配审查;数据接口与传输控制;日志记录与审阅等。


任何系统都不可能尽善尽美,建立发现bug、搜集bug、解决bug,定期进行系统升级迭代的机制,至关重要。


系统控制效率高,各单位尽可能的通过系统部署自动控制,但也要清醒的认识到,不可靠的系统控制,其风险远比人工控制风险更高,要知道,系统性错误会导致该环节出现全面的错误,所以,做好充分的系统测评,不能忽视;


账号权限授予管理,不是闹着玩,权限越大自然越方便,但风险自然越高,要遵循适当性的授权总原则,充分保证不相容职责适当分离;


账号权限审阅和审计,不要走过场,华为该案件再一次生动的证明,账号权限审阅和审计的价值所在。易某账号调岗时,账号权限未被及时修改,如果该系统账号定期审阅机制得到了严格执行,肯定能尽早发现其权限超过岗位职责的问题,如果IT审计[内审网注:各类审计方法案例报告模板关注公众号内审网即可查阅获取]测试关注到该系统账号,亦可发现(当然与审计方法有关,若不全查,就得靠运气);


账号密码和使用权管理,不是儿戏,要知道,我们的账号一般基于该岗位职责而开通对应的权限,要严禁借用账号行为,借用账号会实质性构成不相容职责不分离、数据泄密风险;


日志记录与存储很重要,该控制更多的价值在于检查性,一旦出现问题,能够快速定位及追责,也能帮助精准堵上漏洞。


对于控制,要彻底改变“从来没出过问题,没啥关系”的思维,要意识到,控制更多的价值应该在于预防,过去没问题不代表未来没问题,很多情况下,正是因为控制存在,过去才没有出问题;


很多情况下,审计的价值是潜移默化、润物细无声的。审计发现问题是价值,预判风险更是价值所在。正是因为审计的存在,尽早地发现了风险,推动控制建立,化解了风险,预防了问题出现,所以,不要因为没啥大问题就认为“审计没有价值”,有时候,审计存在就是威慑,就是价值。


以上十点个人看法,抛砖引玉,希望对大家有所帮助,欢迎留言讨论。


【转载提示】转载内审网原创文章,请在页面顶部注明:本文转载自公众号:内审网(ID:neishenwang),并标识作者信息。


文章版权归作者所有,观点不代表内审网立场。部分图文源于网络,已标注作者信息,部分无法查明作者及首发来源,仅作同行学习研究之用,如涉版权,后台联系删除。



发表评论
评论通过审核后显示。
培训通知
>>